[caiu] Problemas com Divulgacao de Blocos IPv4

[Rafael Cresci]

On 11/10/2011, at 20:20, GIULIANO (WZTECH) wrote:

> Umas das respostas que recebemos e que a pessoa que faz tal divulgacao esta de ferias ?
> 
> Como que uma operadora so tem uma pessoa que divulga BGP ?
> Sera que uma pessoa que mexe, lida ou entende de configuracoes de BGP custa tao caro assim pra ter 5 ou 6 ?

Provavelmente porque não têm gente capacitada o suficiente?
Por capacitada, não se entende somente formação oficial Cisco, mas um pouco além, tem que saber pensar fora da caixa.

> Um processo de automacao dessas divulgacoes que pudesse vir a ser feito pelo priprio cliente nao resolveria ?

Não na atual situação, sem RPKI e sem todo mundo usar IRR e sem os IRRs serem 100% confiáveis e auditados.
O problema que faz com que a maioria das operadoras queiram liberar rotas apenas manualmente, é o crescente seqüestro de prefixos pertencentes a outrem, seja por spammers, seja por outros tipos de pessoas e/ou organizações mal-intencionadas ou para uso ilícito ou questionável. Ainda na semana passada apareceu isso aqui na lista, de um AS que estava anunciando prefixos de outro AS "importante" (da Globo.com) no PTT-SP e desviando o tráfego destinado à este AS.

Eu mesmo em Miami nos últimos 3 anos (antes de vender a empresa, em Maio último), recebi várias propostas indecentes de Spammers para anunciar ASes que eles "capturaram" sob o meu AS ou diretamente com gateway nos meus uplinks (sem passar pelo meu AS), gerando sessões BGP com estes uplinks e anunciando prefixos com filtragem automática via IRR (os caras criavam contas no RADB no nome destes AS por exemplo, e registravam vários prefixos roubados). Os caras são tão caras-de-pau que entregam como todo o esquema funciona, é jogo de gato-e-rato com a ARIN. Foi tentador em termos financeiros, mas não cedi visto que isso nos EUA é ilegal mesmo enviar e facilitar spam, e nem pensar em me envolver em qualquer ilegalidade.

Ou seja, os funcionarios de um AS que vende trânsito, que cuidam do BGP devem ser "espertos" o suficiente para saber filtrar tais tipos de pedidos/clientes, reconhecer tais requisições absurdas, saber reconhecer justificativas de pedidos de IP em grandes blocos que sejam falsas, etc. Não é só chegar e sair liberando tudo o que o cliente te mandar, tem que investigar o histórico do prefixo, a delegação, a titularidade...

O AS 174 só habilita prefixos manualmente. Não trabalha com IRR, por exemplo. E é um semi-tier-1, um dos maiores do mundo, e tem indice de spam quase zero. Já os tier-1 3356/3549 têm IRR próprio, e com isso volta e meia são enganados por spammers.

[]s
Rafael Cresci